В первом происшествии для запуска эксплоита достаточно было лишь один раз кликнуть по доказательству. Во втором случае для инициации атаки потребовалось поменять режим отражения Windows Explorer, выбрав "Эскизы страниц". В таком режиме Explorer отображает первую страницу PDF в виде эскиза. Во время рендеринга представления происходит чтение файла, и эксплоит пускается. Ну и наконец в третий раз для начала работы вредоносного кода понадобилось лишь навести мышку на изображение документа, не кликая по нему. Чтобы данный приём сделал, PDF-файл должен содержать специальным образом подобранные метаданные, обращение к каким будет произведено во время запроса дополнительной информации при нацеливании мышки.

А теперь подробнее остановимся на том, почему эксплоиты срабатывают более того тогда, когда пользователь не открывает протокол. Ответ кроется в использовании расширений оболочки Windows Explorer. Когда ты устанавливаешь Adobe Acrobat Reader, вместе с ним вводится и расширение оболочки Column Handler. Оно представляет собой особую программу (объект COM), которая позволяет Windows Explorer считывать добавочную информацию о файлах, такую как имя автора документа и так далее. И когда файл отражается в окнах Windows Explorer, данное расширение может быть активизировано для получения информации о файле. Расширение обращается к файлу и…

Поэтому знатоки советуют быть предельно внимательными при вращении с вредоносными файлами. В случае, если их изучение необходимо для работы, они советуют пользователям переименовывать расширения тяжелых приложений и переносить их в зашифрованном виде.